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ここ で は , 安全 性 設計 を 考え る 上 で 必要 な 概念 や 設計 の 手順 , 
手法 な ど に つい て 解説 する . 障害 や 故障 を 分 析 す る 手法 の 例 と 
し て は , 自動 車 分 野 で よく 使わ れ て いる フォ ー ル ト ・ ツ リー 解 
析 (FTA : fault tree analysis) や 故障 モー ド 影 響 解析 
(FMEA : failure mode and effect analysis) を 取り 上 
げ , 具体 的 に 説明 する . (編集 部 ) 


1. 安室 性 設計 の 概要 | 


安全 性 や 信頼 性 と いう 言葉 は , 人 に よっ て 使い 方 や 受け 
取り 方 が 異な り ま す . そこ で 最初 に , 安全 性 設計 を | 潜在 危 
険 hazard) と リス ク の 低減 を 狙い と し た 設計 」 で ある と 定 
義 し た いと 思い ます . 溢 在 危険 の 一 つと し て 故障 failure) 
が あり ます . 故障 は , 故障 モー ド ( failure mode) の 影響 が 
どの よう な も の で ある か に よっ て , どの 程度 危険 で ある の 
か が 異な り ま す . 

一 方 , 信頼 性 と は , 一 般 に 部 品 な どの ハー ド ウェ ア に お 
ける 故障 の し に くさ を 表し ます . 信頼 性 設計 を 一 言 で 言う 
と ,「 故障 の 発生 を 抽 える た め の 設 計 」 で ある と 言え ます . 
例え ば , 電球 の フィ ラメ ント が 切れ る の は , 主 に 経時 劣化 
や 偶発 故障 に よる も の で す . その 場合 の 信頼 性 設計 と は , 
平均 故障 間隔 MTBF : mean time between failures) や 
故障 まで の 平均 時 間 MTTF : mean time to failure) を , 
より 長く する こと を 狙い と し て 設計 する こと で す . 


安 玉 性 設計 の 呈 本 を 理 杉 す る 


障害 や 故障 を 分 析 し て 安全 を 作り 込む 


人 @ 洪 在 危険 や リス ク の 少な い ソ フト ウェ ア が 「 安 全 」 
それ で は , ソフ ト ウェ ア の 安全 性 と 信頼 性 の 定義 に つい 
て 考え て み ま し ょ う . ソフ ト ウェア の 信頼 性 と は ,「 ある 
期間 と ある 条件 下 に お いて , 不具 合 の 発生 し な い 動 作 が 得 
られ る 確率 」 で ある と 言え ます . 
ソフ ト ウェ ア の 不具 合 は , 劣化 や 摩耗 に よる 故障 で は あ 
り ま せん . し か し , 内 在 す る 不具 合 な ど に よっ て 発生 する 
「 故障 」 に 関す る 信頼 性 の 定義 は , 前 述 し が ハー ドウ ェ ア 
に お ける ) 平 均 故障 間隔 MTBF ) の よう な イメ ー ジ で と ら 
えら れ ま す . 
また 。 ソ フトウェア の 表 障 | に は ,。 メイ ン ・ プロ グラ ム 
と 割り 込み の 干渉 な ど , 確率 的 に 発生 する 故障 も あれ ば , 
ある 条件 に な る と 必ず 発生 する 故障 や , セン サ や 機構 な ど 
の 経時 劣化 を うま く 処理 し て いな いた め に 経年 で 顕在 化す 
る 故障 な ど が あり ます . また , 不具 合 と し て は 発生 し て も , 
故障 に まで は 至ら な いこ と も あり ます . 
ソフ ト ウェ ア の 安全 性 設計 も , 先ほど の 定義 に 準じ て , 
「 故障 な ど に 起因 する 潜在 危険 や リス ク の 低減 を 狙い と し 
設計 」 で ある と 言え ます . 


人 @ 欠陥 と 障害 , 故障 の 違い を 理解 する 
安全 に 関す る 用 語 に は 紛らわしい 言葉 が 出 て くる の で , 
用 語 の 関連 を まず 理解 し て くだ さい . 
1) 障害 fault) - 異 淀 error)- 故障 failure) 
ある 障害 fault) が トリ ガ と な り , 異 淀 error), 故障 
( failure) と 連鎖 し ます . 障害 か ら 故障 まで の 連鎖 は , さら 
に 上 位 の 障害 に 結び つき ます . その 障害 は さら に 異常 , 


QS-9000, IEC 16949。 ISO 9000, CMM, 形式 検証 , SDL, UML, ADL 
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障 と 連鎖 し ます . これ を 繰り 返す と 事 頁 accident) に つ な 労力 や ユ ス ト は より 多く か か る と 言わ れ て いま す . 
が り ま ポポ 図 1). 具体 的 な 方 法 を 考え て み ま し ょ う . 欠陥 を 予防 する た め 
2) 欠陥 defect) - 障害 fault) - 故障 failure) に は , ハー ドウ ェ ア な ら 故 障 率 の 低い 部 品 を 採用 する , ソ 
ソフ トウ ェ ア に 内 在 する 不具 合 な ど , 開発 時 に 作り 込ま フト ウェ ア な ら 実 績 の ある ソフ ト ウェ ア 部 品 を 再 利用 する , 
れ て し まっ た 欠 了 償 defect) が ある と , 稼働 中 に 障害 fault) な どの 方 法 が あり ます . 欠陥 を 除 示 する に は , 故障 を 検知 
が 顕在 化し , 図 1 に 示し た よう に 故障 failure) へ と 連鎖 し し や すい 構造 に 設計 する な どの 方 法 が あり まず 具体 例 と 
ます . 故障 は 部 品 レ ベル か ら , シス テム 故障 へ と つなが り し て , セン サ 異 常 の 検出 方 法 を 後述 する ). 故障 と し て 顕 
ます . また 部 品 故障 は , 副 次 的 に 第 2 の 部 品 故 障 や , それ 在 化 し た 後 の 対策 と し て は , 副 次 的 影響 を どう 低減 する か , 
が 連鎖 し て 第 2 の シス テム 故障 へ と 拡大 する 場合 が あり ま 冗長 系 を どう 織り 込ん で お く か な ど を 検討 し ます . 
ポ 図 2). 処置 に 関す る キー ワー ド を 以下 に 示し ます . 安全 性 設計 
の 方 策 を 検討 する と き に , これ ら を 利用 し ます . 
@ 効果 の 高い 安全 性 設計 は コス ト も か か る ① 避け る 
ここ まで 述べ て きた 概念 と その 関係 を 理解 する こと に よ ② 検知 ・ 警報 する 
り , どの 段階 どど の よう に 安全 翌 安全 処置 ) を 設計 すれ ば ③ 障害 や 故障 を 除去 ・ 修 正す る 
効果 的 な の か が 見 えて きま す . 安全 処置 を 設計 する 手順 を ④ 冗長 に 対応 する 
図 2 の 因果 関係 モデ ル に 沿っ て 整理 する と , 以下 の よう に ⑤ 故障 で も 動作 で きる よう に する 
な りり ます . ⑥ フェ イル セー フ を 実施 する 
① 欠陥 を 発生 元 で 予防 する ⑦ 監視 する , 要因 を 分 離す る 
② 欠陥 を 早い 段階 で 除去 する ⑧ 分 離 ソ フト ウェ ア 構 造 と する 
③ 欠陥 を 除 夫 で き な い まで も , 被害 を 低減 させ る マージ ⑨ より 安全 な カー ネル 構造 と する マイ コン で いう と , ス 
ン を 取る , 防御 構造 を 準備 する , な ど ) ー パ バイ ザ ・ モー ド を 利用 し た カー ネル 設計 な ど ) 
④ 顕在 化し た 故障 を 制御 す ぶ % フェ イル セー フ 設 計 な ど ) また , 検知 を 織り 込む 場所 を 工程 ご と に 見 て いく と , 以 
⑤ 事故 が 発生 し た 後 の ダ メー ジ の 低減 を 図る 下 の よ うに な り ま す . 
これ ら の 処置 は , 番号 が 若い ほど 効果 は 高く な り ま す が , ① ハー ド ウェ ア で 検知 する ハード 故障 や 異常 命令 な ど に 


異 故 障 図 、| 潜 
ec (en 6 し 2 ( failure) Ph お 


図 1 2 NR nn | 5 の 


障害 - 異常 - 故障 | 語 主 計 本 本 
障害 fault) - 異 淀 eror) - 故 隊 failure) の 連 | | 2 
鎖 が , 事故 に つなが る . ( fauk) 図 ( error) 図 ( faiure) 図 


開発 , 保守 図 


図 2 


欠陥 障害 - 故障 の 因果 関係 モデ ル 上 ETPZ3 
欠 了 defect) が 発生 し , それ が 除去 で き な い 性 還 の 故障 較 


欠陥 の 場合 障害 が 発生 する . 障害 は 異常 , 故 


と 部 品 レベ ル の 故障 が シス テム 故障 障 定 fault), 図 
yy RPMO 隊 が 453 欠 了 臨 defect) 図 異常 error) 図 故障 faiure) 図 
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組み 込み シス テム o 幅 頼 性 と 安全 ' 性 を 高め る 


対す る 処 軒 ) 

② ソフ ト ウェ ア で 検知 する 実行 エラ ー 処 置 や , 事前 構造 
設計 で の 処置 ) 

③ プロ セス を 独立 させ て 検知 する 別 プ ロ セ ス で モニ タ す 
る ) 

④ シス テム を 独立 させ て 検知 する ( 独立 し た ハー ド ウェ ア 
な ど を 利用 し て 検知 , 処置 する . スー パ バ イザ , オブ ザ 
ー バ な ど と 呼ば れる ) 


2. 危険 の も と を 分 析 す る 
代表 的 な 手法 を 知る 


障害 や 故障 , 潜在 危険 な ど を 分析 する 代表 的 な 手法 と し 
て は , 故障 モー ド 影響 解析 FMEA : failure mode and 
effect analysis), フォ ー ル ト ・ ツ リー 解析 FTA: fault 
tree analysis), HAZOR hazard and operabiliity) ス タデ 
ィ ー な ど が あり まず 表 1). また FMEA に は , 製品 設計 段 
階 で 実施 する 設計 FMEA DFMEA) と 製造 工程 設計 段階 
で 実施 する 工程 FMEA PFMEA) が あり ます . 

FMEA と FTA は, 自動 車 分 野 に お ける 品質 シス テム 規 
格 QS-9000【 現在 は ISO 16949) に も 定義 され て いる , ポ 
ピュ ラー な 手法 で す . HAZOP は , 化学 プラ ント 分 野 な ど 
で よく 使わ れ て いま す . 


表 1 危険 の 源 を 分 析 す る 手法 の 例 
名 称 目 的 


以下 , FMEA と FTA に つい て , 具体 的 な 例 を 示し な が 
ら 説明 し ます . 


@ 改 障 モ ー ド 影響 解析 (FMEA) 

「 故障 モー ド 」 と は , 故障 状態 の 物理 的 / 化 学 的 な 変化 を 
表現 し た も の で す . 具体 的 に は , 変形 , 断線 , 短絡 , 開放 , 
折損 , 摩耗 , ノイ ズ , 特性 の 劣化 な ど が 故障 モー ド に あ た 
り ま す . 一 方 ,「 故障 」 と は , 機能 を 満た さ な く な っ た こと 
を 表現 する 言葉 で す . 異な る 概念 な の で す が , 混同 し や す 
い の で 注意 が 必要 で す *1. 

故障 モー ド 影響 解析 FMEA ) は , 製品 の 機能 を 構成 す 
る 部 品 ご と に 故障 モー ド を リス ト アッ プ し , これ ら の 故障 
モー ド が 製品 に 及ぼ す 影 響 を 予想 する こと で , 潜在 的 な 事 
故 を 設計 段階 で 予測 ・ 抽 出し まず 表 2). 

さら に , これ ら の 故障 モー ド に 対し て 故障 が 発生 し た 場 
合 の 影響 の 大 き ざ ( 茂 し さ ) や , 発生 する 確率 発生 率 ), 発 
生 の 見 つけ に くさ ざ ( 検出 率 ) な ど を それ ぞ れ 10 段 階 で 評価 
し , 積 を と っ て ラン ク 付 け を 行い まず 危険 優先 数 ). この 
分 析 結 果 を 対策 に 反映 し , 事故 や 故障 を 予防 し ます . 


注 1: 故障 モー ド は 部 品 レ ベル に 落と し て いく が , 機能 や サブ 機能 の 故障 モ 
ー ド と 混在 し や すい . その た め , ISO 16949 で は 部 品 レ ベル で の 故障 
モー ド の こと を , 「 故障 モー ド と その 故障 の , 潜在 的 原因 また は 故障 
メカ ニズム 」 と いう 表現 で 説明 し て いる . 


概 要 特 微 


故障 モー ド 影響 解析 FMEA : 


音 の ) 旦 ク 
failure mode and effect analysis) 改 障 の 影響 を 分 析 す る 


故障 の 可能 性 が ある も の 主 に 部 品 ) に 対し て , どの 
よう な 影響 故障 モー ド ) が ある か を リス ト ア ッ プ し , 
発生 頻度 ・ 影 響 度 ・ 検 出 難 易 度 に 基づい て , 優先 順位 
を 明確 に し な が ら 設 計 対 策 を 実施 し て いく 


ボ ト ム ア ッ プ 的 


フォ ー ル ト ・ ツ リー 解 板 FTA : 
fault tree analysis) 


故障 や 事故 の 発生 頻度 を 分 析 
する 


望ま し く な い 事象 を 定義 し て , その 事象 を 発生 させ る 
要因 を 抽出 し , それ ぞ れ の 発生 確率 を 検討 する 


トッ プ ダ ウン 的 


シス テム に 発生 する 可能 性 の 
ある 潜在 危険 と , 運転 性 へ の 
害 を 解析 する 


HAZOR hazard and operability ) 
4620 ラ 1 


表 2 故障 モー ド と 影響 解析 表 
ISO 16949 に 定義 され て いる 故障 モー ド 影響 解析 FMEA) の フォ ー マ ッ ト 例 
の 運用 規定 を 作る 必要 が ある . また ,「 RPN が いく つ 以 上 な ら 是 正 を 行う 」 と 


シス テム ある い は プロ セス を 中 心 と し て , ガイ ド 
ワー ド を 用 いて 解析 する 


トッ プ ダ ウン と ボ ト ム ア ッ プ の 
中 間 


.「 厳し さ 」,「 発生 率 」,「 検出 率 」 の ラン ク の 表現 は 製品 ご と に 異な る の で , ラン ク 表 
いう 盾 告 是正 基準 を 作成 し , この 基準 を 満足 し な い 項 


に つい て 対策 を 検討 する . こ 


の 表 の 対策 」 の 右側 に ある 項目 は , 対策 後 の 数 値 を 示し て いる . な お , 影響 度 に つい て は , 単独 で も [| いく つ 以 上 な ら 是正 を 行う 」 と いう 処置 を 併用 する . 
計 ae 呈 ク 厳し 故障 の 原因 発生 | 現在 の 設計 | 現在 の 設計 | 検出 | 危険 5 厳し | 発生 | 検出 | 危険 
No | 機能 | 故障 モー ド | 故障 の 影響 < | メカ ニズム | 率 | 管理 予防 | 管理 検出 | 率 | 優先 数 | 2 策 | さ | 率 | 率 | 優先 数 
酸化 接触 不良 4 ネネ ネギ ネネ ネ 5 120 | ※ ネ ネネ 6 4 2 48 
11 | ネネ | ネネ ネギ ネネ ネ 6 
熱 ス トレ ス 破 断 | 2 ネネ 玉 ネギ 5 60 
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⑯ フォ ー ル ト ・ ツ リー 解析 (FTA) 

図 3 に , フォ ー ル ト ・ ツ リー 解析 FTA) の 例 を 示し ま 
す . この 手法 で は , まず 初め に 望ま し く な い ト ッ プ 事象 こ 
こ で | 車速 信号 停止 」) を 定義 し , その 事象 を 発生 させ 得 
る 要因 を た どっ て 抽出 し て いき ます . 

1 次 要因 ECU 入 力 回 路 故 障 , セン サ 系 統 故 障 ) を 列挙 
し , さら に その 要因 を 挙げ, さら に …, と 因果 関係 を 追究 
し て いき ます . 望ま し く な い 事 象 を 漏れ な く 列挙 し , > 
テム の 故障 を 発生 させ る 事象 と の 因果 関係 を , 論理 
( OR, AND) を 用 いて ツリ ー 状 に 表現 し ます . また , 
ご と に 故障 率 を 割り 当て ます . そこ か ら 逆 に 確率 を 集計 し 
て いき , トッ プ 事 象 や 上 位 要 因 の 確率 を 求め ます . 

トッ プ 事 象 の 確率 が 大 きい 場合 , 確率 の 大 きい ルー ト に 
対し て 対策 を 実施 し ます . それ を , トッ プ 事 象 の 確率 が 小 


SN 
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ロ 山 
忌 
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車速 信号 停止 


ECU 入 力 図 
回 路 故 障 較 


ECU コ ネ 図 セン サ 図 
クタ 不良 較 故障 較 
図 3 フォ ー ル ト ・ ツ リー 解 板 FTA) 


ここ で は , 自動 変速 機 の 制御 に お いで 速度 情報 が マイ コン へ 伝送 され な い 」 
と いう 障害 に 対し て 解析 し て いる . 


| 上 


h ルク ・ コン バー タ 鐘 


図 准 章 回 G ざ ツ ざ H 
4 時 調 忌 需 局 へ で て 田 席 忌 届出 


人 


| 油 整 ソノ レイ ド と バルブ ・ ポ ディ 図 
ソレ ノイ ド 団 | ソレ ノイ ド 合 
S1 S2 


写真 1 自動 変速 機 automatic transmission) の 外観 
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さく な る まで 繰り 返し ます . 

設計 段階 で は , FMEA を 検討 し た 後に , 抽出 し た 故障 モ 
ー ド を さら に 掘り 下げ る た め に FTA を 併用 し ます . また , 
検証 段階 で 見 つか っ た 不具 合 を 論理 的 に 追求 し , 原因 を 究 
明 す る た め に も FTA が 使わ れ ま す . 


3. フェ イル セー フ 設 計 で 安全 性 を 高め る | 


安全 性 を 高め る た め の 一 般 的 な 設計 手法 の 一 つと し て , 
フェ イル セー フ 構 成 の 設計 例 を 説明 し ます . 写真 1 に 示す 
の は , 自動 車 の 自動 変速 機 automatic transmission) で す . 
ここ で は , 速度 セン サ と 2 個 の ソレ ノイ ド ( アク チュ エー 
タ ) を 制御 し て , 4 速 の 変速 を 行う シス テム を 考え ます . 

実際 の 自動 変速 機 は , 遊星 歯車 や ヤク ラッ チ の 制御 な ど , 
内 部 で 複雑 な 動作 を 行い ます が , ここ で は 話 を 単純 に する 
た め に , ソレ ノイ ド の ON/OFF で 油圧 ON/OFF を 作り 出 
し , バル ブ ・ ボディ で それ に うま く 対応 する た め の 内 部 変 
速 調整 回 路 が 組み 込ま れ て いる と 仮定 し ます . また , 実際 
の 自動 変速 機 は アク セル と 連動 し て いま す が , ここ で は そ 
れ を 考慮 し ませ ん . 

シス テム 構成 を 図 4 に 示し ます . 通常 動 保 故障 の な い 
状況 ) で は , マイ コン が 速度 セン サ か ら の 信号 を 受け て 計 
算 し , ハイ サイ ド ON/OFFE 回 路 に 対し て ソレ ノイ ド の 
ON/OFF 指示 を 出し ます . 変速 段 に 対応 する ソレ ノイ ド 状 
態 を 表 3 a) に, 変速 に 対応 する 速度 を 表 3 b) に 示し ます . 


人 @ 改 障 の 場合 の 検討 

ここ で は , 図 4 の シス テム に 対し て 故障 モー ド 影響 分 析 
( FMEA) を 実施 し て み ま す . 具体 的 に は , 各 和 機能 ブロ ッ ク 
に 対し て , 順番 に 故障 を 検討 し て いき ます . 例え ば , 速度 
セン サ の 故障 と は ,「 速度 を 検出 し , マイ コン へ 伝達 する 」 


電源 較 


ハイ サイ ド 較 
ON/OFF 回 路 隊 


ハイ サイ ド 凶 
ON/OFF 回 路 賠 


図 4 自動 変速 機 の シス テム 構成 
ここ で は 説明 を か ん た ん に する た め に , シス テム を 簡略 化し た. 
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機能 が 欠け る こと に な り ま す . ここ か ら , まず 故障 モー ド 表 3 自動 変速 機 の 設定 と 入出 力 値 
を 検討 し , 実際 に どの よう な 故障 が 想定 され る か を 洗い 出 変速 段 1 速 | 2 速 | 3 速 | 4 束 
S1 ON ON | OFF | OFF 
に コ e 状態 

語義 ます . 上 B 0N0R S2 1 OFF | ON ON | OFF 
この 場合 , 下記 の 点 を 意識 し て 作業 を 進め る 必要 が あり に 放 楽 隊 Bt 汗 時 8 仙 0 の 0 

ます . 

e 実際 の 物理 的 状況 を 明確 に する 速 腐 km/h) 15 30 55 
PIN の 了 1 速 つ 2 速 , | 2 速 つ 3 速 .| 3 速 っ 4 速 , 
e 機能 と 機能 を 結ぶ 伝送 機能 を 含め る 2 速 1 速 | 3 速 つ 2 速 | 4 速 3 速 
e 2 次 的 影響 も 抽出 する ( b) 変速 の し きい 値 


な お 図 4 で は , 速度 セン サ が マイ コン に 直接 つなが っ て 
いる よう に 表現 し て いま す が , 実際 に は セン サ 信 号 が セン 


サ ・ コネクタ で 配線 に つなが り , その 配線 か ら ECU の コ e 通常 の 走行 で 発生 し な い 急 激 な 速度 変化 に つい て は , 故 
ネ ク タ を 経由 し , プリ ント 基板 の 配線 を 経由 し て 入力 回 路 障 の 影響 と みな し て 処置 する 
へ つなが り , マイ コン ・ ポ ー ト に 入力 され ます . これ は , e 急 に シフ ト ダウ ン し な いよ うな 機構 を 併用 する ( ワン 
「 速度 セン サ 」 慎 マイ コン 」 と いっ た 機能 ブロ ッ ク の 中 に イッ ダウ など) 
は , さら に サブ 機能 が ある こと を 意味 し ます . e セン サ を 2 系 統 に し て 処置 する 冗長 化 ) 
故障 モー ド は , 先ほど も 説明 し た よう に , 物理 的 / 化 学 e 走行 前 に セン サ 故 障 を 検知 し て , 変速 し な い セン サ に 
的 な 変化 状況 を 表現 し ます . 各 サ ブ 機 能 に つい て , 具体 的 ディ ジタル 1C を 内蔵 し て 常に シリ アル 通信 を 行う 仕様 と 
に 分 か る 故障 モー ド と し て 抽出 し ます . 例え ば , コネ クタ すれ ば , その 通信 が 途絶 える こと で セン ザ サ 機能 の 故障 を 
の オー プン 故障 の 場合 , 故障 モー ド と し て ば 接点 の 酸化 」 検知 で きる ) 
演 コネ クタ ・ ピン の 銅 線 と の カシ メ 緩み 」 が あり ます . 配 この よう に し て , ほか の 機能 ブロ ッ ク や サブ 機能 も 順に 
線 の 故障 な ら , 途中 に 中 継 ボ ックス が ある か どう か に 注意 分 析 し , 部 品 の 故障 モー ド を 抽出 し て は 影響 を 分 析 し て い 
が 必要 で すし , 咳 み 込み な ど に よる 車両 ボディ イィ ( グラ ウン く と , 例え ば 以下 の よう な 処置 を 検討 ひよ うと いう 考え が 
ド 電位 ) 短絡 も 考え られ ます . 配線 の ボディ 短絡 で あれ ば , 浮か び ま す . 
2 次 的 な 短絡 電流 の 影響 も 検討 する 必要 が あり ます . e マイ コン の 故障 を 監視 する ウオ ッ チ ドッ グ 回 路 と , リセ ッ 
この よう に , さま ざま な 故障 モー ド が 抽出 され ます が , ト 時 に 変速 を 4 速 側 へ 移行 させ る 回 路 注 2 
その 影響 は 比較 的 まとまり ます . 例え ば , 速度 セン サ の 場 e ソ レノ イド の オー プン ・ シ ョ ー ト を 検出 する 回 路 
合 は , 故障 の 影響 ば 速度 情報 が マイ コン へ 伝送 され な い e ソ レノ イド ・ シ ョ ー ト 時 の ハイ サイ ド 回 路 保護 
こと に よる 変速 不良 」 か な ど に な り ま す . e ソ レノ イド S1 が ON で S2 が ON 2 速 ) の と き , S2 の 故 
障 時 に は S1 を OFRK 4 速 ) に する 処置 1 速 に 移行 する こ 
人 @ 故障 モー ド の 影響 を 分 析 す る と を 防ぐ ) 
故障 モー ド 影響 分 析 で は , 影響 を 数値 化 し , 重要 度 を 具 e ハイ サイ ド 回 路 の ON/OFTF 故障 へ の 処置 
体 化 し て いき ます . ここ で は 数 値 化し し ませ ん が , どの よ e 電源 ON 時 に 故障 診断 を 実施 する 処置 


うな 影響 と 対応 する か を 説明 し ます . 
前 述 し た 速度 セン サ の 例 で ,「 速度 情報 が マイ コン へ 伝 @@ 機能 を 最適 配置 する た め に は 設計 者 の 連携 が 大 切 


送 さ れ な い 」 と いう 改 障 を 実際 の 制御 の 場面 に 当て は め て この よう に フェ イル セー フ を 検討 する と き , その 処置 を 
考え て み ま す . 例え ば , 走行 中 に 速度 情報 が マイ コン に 伝 ソフ トウ ェ ア で 実施 する の か , 機構 で 実施 する の か な ど , 
わら な い 場 面 を 考え ます . 速度 セン サ の 値 は , 走行 前 や 停 シス テム 全体 で トレ ー ド オフ や 最適 配置 を 検討 する こと に 


目 中 は 速度 ニ = ゼロ と な る の で , 一 般 的 な 速度 セン が マグ 
ネッ ト と コイ ルル 方 式 ) で は 故障 と 見 分 けが つき ませ ん . そ 


注 2: 自動 車 が 走行 中 に 速度 情報 が 0 に な っ た と き , 2 速 か ら 1 速 に シフ ト ダ 
の た め , 制御 と し て シフ ト ダウ ン が 行わ れる こと に な り ま ウン し て し まう と 自動 車 が 低速 で し か 走れ な く な っ て し まう . 変速 し 
な いか , また は 4 速 側 に 移行 する こと に より , その 場 で 停止 する より 

す . これ に 対す る 方策 の 候補 を 以下 に 列挙 し ます . も 安全 に 走行 で きる . 
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な り ま す . 

IEC 61508 の 第 3 部 で 示さ れ て いる 開発 ライ フ ・ サ イク 
光 図 5) に も , この こと が 示さ れ て いま す . シス テム 全体 
( E/E/PE) の 安全 要求 仕様 か ら ソ フト ウェ ア 安 全 要 求 仕様 
に 落と し 込む な とき, また , ソフ トウ ェ ア ・ ア ー キ テク チャ 
を 検討 する と き に , シス テム 全体 の アー キテ クチ ャ と ソフ 
トウ ェ ア の アー キテ クチ ャ を 調整 し な が ら 設 計 す る と いう 
流れ に な っ て いま す . 

これ は シス テム 設計 に お いて 重要 な 点 で す . 実現 し や す 
い 個 所 で 処置 を 分 担 で きれ ば , シス テム を より 簡素 な も の 
に で きま す . その た め に は , 電子 回 路 の 設計 技術 者 と 機構 
設計 技術 者 , ソフ トウ ェ ア 設 計 者 と ハー ド ウェ ア 設 計 者 が 
連携 する こと が 大 切 で す . 
また , 妥 当 性 確認 テス ト か ら ソ フト ウェ ア 安 全 要 求 仕様 
に 対し て 矢印 が ある の は , 今 ま で 見 て きた よう に , 故障 モ 
ー ド 解析 な ど を 行っ た 結果 , どの よう に 制御 する の か を 安 
全 要 求 仕様 に フィ ー ド バッ ク し な が ら 仕 様 を 作り 込ん で い 
く 必要 が ある こと を 表し て いま す . 


@ ISO 9000 や CMM へ の 取り 組み が 機能 安全 に つなが る 
現在 , ISO 9000 や CMM Capability Maturity Model : 
能力 成熟 度 モ デル ) に 取り 組ん で いる 企業 の 方 も 多い と 思 
いま す . 機能 安全 品質 や 安全 は , 良い シス テバ きま り ) 
や プロ セス に よっ て 作り 込ま れる 」 と 考え る 点 は ISO 9000 
な ど と 共通 し て いま す . 機能 安全 の 多く の 取り 組み や 手法 


こと で も あり ます . 


4. 自動 車 制 御 の 安 全 を 確保 する た め の 
技術 動向 


車載 シス テム は 安全 面 に 特に 配慮 し な が ら 開発 され て き 
まし た が , 車載 シス テム が ます ます 大 規模 に , 複雑 に な る 
に 従っ て , 安全 を 確保 する た め の 新 し い 技 術 が 求め られ て 
いま す . ここ で は , リア ル タ イ ム OS に 求め られ る 保護 機 
能 と , 最近 注目 され て いる 形式 検証 に つい て 紹介 し ます . 


⑱ リア ル タ イ ム OS の 保護 機能 に 期待 

最近 で は 車両 制御 が 大 変 複雑 に な っ て き て いま す . さま 
ざま な 車両 機能 を また い だ 制 御 が , 一 つの コン ピュ ー タ の 
中 に 組み 込ま れ て , 実行 され る よう に な っ て き て いま ず 統 
合 制御 と 呼ば れる ). これ ら の 機能 を り リアルタイム OS が 統 
括 し ます が , 各 機 能 を 独立 させ , 信頼 性 を 高め る に は , リ 
アル タイ ム OS の 保護 機能 が 重要 で す . 

保護 機能 と し て は , 各 機 能 が 利用 する メモ リ 領域 を 保護 
する メモ リ 保護 機能 の ほか に , タス ク の 処理 時 間 オ ー バ を 
監視 する 時 間 保護 機能 も 重要 に な っ て き て お り , これ ら を 
組み 込ん だ プラ ッ ト ホー ム が 標準 化 さ れる こと を 期待 し て 
いま す . 


は , CMM で いう プラ クティ ス 間 で マッ ピン グ で きる と 言 
われ て いま す . 

従っ て , ISO 9000 ま 3 や CMM 注 4 に 着実 に 取り 組み , 力 
を つけ る こと が , その 延長 と し て 機能 安全 へ の 準備 が 進む 


E/E/PE 図 
5 安全 要求 仕様 凶 ア 


IEC 61508 第 3 部 で 示さ れ て いる ソフ 
ト ウェ ア の 開発 ライ フ ・ サ イク ル V 字 


「 EEPE ア ー キ テク チャ 」 と 「 ソフ トウ ェ アー キテ クチ ャ 失 


ア ・ ア ー キ テク チャ 」 を つなぐ 双方 向 の 矢 
印 は , ここ で 設計 の トレ ー ド オフ を 検討 す 
る べき で ある こと を 意味 し て いる . また , 
「 妥当 性 確認 テス ト 」 か ら 「 ソフ ト ウェ ア 安 
全 要 求 仕様 」 へ の 矢印 は , 各種 の 分 析 や 確 
認 し た 結果 を 安全 要求 仕様 に フィ ー ド バッ 
ク し , 仕様 を 作り 込ん で いく 必要 が ある こ 
と を 示し て いる . 
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2 ラル gg2 剛 
安全 要求 仕様 図 


ツラ ド gm | 名 
の 2 ロラ ョ ンク / だ YK 


注 3: 自動 車 分 野 で は , 米国 ビッ グ ・ ス リー の 要求 事項 を 上 乗せ し た 品質 シ 
ステ ム 規 格 QS-9000」,. さら に 現在 は , 国際 標準 化 さ れ た ISO/TS 
16949 な ど が ある . 
注 4: 最近 は , CMM( Capability Maturity Model Integration) や ISO 15504 
SPICR Software Process Improvement Capabilhty dEtermination) , 
今後 の 自動 車 分 野 で は Automotive SPICE な ど が ある . 


< ぐーーーーーーー コ 妥当 性 図 ーー 妥当 性 が 確認 され た 凶 
確認 テス ト 図 ソフ トウ ェ ア 図 


ーー 統合 テス ト 図 
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人 @ 形式 検証 と モデ リン グ の トレ ンド 

IEC 61508 で 推奨 し て いる 手法 と し て , 形式 検証 formal 
method) が し ば し ば 話題 に な り ま す . 現在 , 形式 検証 技術 
が 進ん で いる の は , 主として 離散 事象 discrete event : 
非同期 的 で 不 連続 な タイ ミン グ で 生起 する イベ ント ) を 対 
象 と し た モデ ル 状態 遷移 図 な ど ) に つい て で す . 
自動 車 な ど は 通常 , 連続 事象 と 離散 事象 を 両方 扱う 必要 
が あり まず これ を ハイ ブリ ッ ド ・ モ デル と いう ). まだ 実 
SI 


ら の 動作 検証 な ど を 行う に は , 電子 回 路 の ほか に 電磁 気 
油圧 な ど を 総合 的 に 扱え る ヘテロ ジニ アス な 要素 も 合わ せ 


て モデ リン グ で きる 必要 が あり ます ぜ ば 5. 

「 ソフ トウ ェ ア 実 行 構造 が タイ ム ・ ト リガ 方 式 の 同期 構 
造 で ある こと を 前 提 と する 」 な ど と 限定 すれ ば , フラ ンス 
Esterel Technologies 社 の モデ リン グ & 形 式 検証 ツー ル 


「 SCADE」 な ど が あり ます が , ハイ ブリ ッ ド ・ モ デル の 形 
式 検証 は まだ 発展 途上 で す . 

また , 別 の アプ ロー チ と し て , 以下 の よう な 取り 組み が 
行わ れ て いま す . 


1) C 言 語 で 形式 検証 する 
言語 は 形式 言語 で は あり ませ ん . し か し , フォ ー マ ル ・ 

ツー ル を 適用 する こと で , ある 程度 の 形式 検証 は 可能 で す . 
例え ば , 抽象 解釈 理論 を 適用 し て 開発 され た フラ ンス 
Polyspace Technologies 社 の エラ ー 検 出 ツ ー ル Polyspace 
Verifier」 は, ソー ス ・ コード から , すべ て の 入力 変数 範囲 
に た おい CC オーバ ア 上 一 や デッド ・ コード が か いか どう か る 
検証 し ます . また , 最悪 実行 処理 時 間 WCET : worst 
case execution time) も , 抽象 解釈 理論 を 応用 し た ツー ル 
で 解析 で きま す . 
2) UML 十 ADL で 形式 検証 する 
児 在 , VDM な どの 形式 検証 言語 で 仕様 か ら 記述 する , 
な ど と いう 方法 が 話題 に な っ て いま す が , な じみ の な い 表 
0 習得 する 必要 が あり ます . 一 方 , フロ ー チ ャ ー 

に 似 た 形式 言語 で , 国際 電気 通信 連作 ITU: Inter- 


national Telecommunication Union) が 推奨 する SDL 


( Specification and Description Languagee) が あり ます . 
これ を 使え ば , テス ト ・ ケ ー ス 自動 生成 な ど で 有 効 に 検証 
で きま す . SDL は , FlexRay 通信 仕様 書 の 動作 記述 に も 利 


注 5: この た め , ハイ ブリ ッ ド ・ モ デル の 記述 が 容易 な 米国 The MathWorks 
社 の 数 値 計算 / 信 号 処理 設計 ソフ トウ ェ ア MATLAB」 な ど が よく 利 
直さ れ て いる . 


用 され て いま す . 

また , UML20 は 完全 な 形式 言語 で は あり ませ ん が , 拡 
張 プ ロフ ァイル で モデ リン グ 定 義 す れ ば , 形式 言語 と し て 
利用 で きま す . 

た だ し , 形式 化し た モデ ル で ご C 言 語 レベ ル の 振る 舞い ま 
で を すべ て 記述 し よう と する と , VDM と 同じ よう に , 習 
得する の が 大 変 で す . むし ろ , アー キテ クチ ャ ・ レ ベル 記 

に 絞っ て 形式 化し て 利用 すれ ば , その 分 容易 に 利便 性 を 
得 ら れ ま す . 

最近 の 流れ と し て は , アー キテ クチ ャ 記述 言 護 ADL : 
Architecture Description Language) を UML 拡張 プロ フ 
アイ 2 ル で 定 王 し 。 シ スト デム や ソフ トウ ェ ア の アー キテ グ クチ 
ャ 部 を 記述 し て 評価 する と いう 方 法 が , モデ リン 0 
分 か り や すさ も あっ て , 盛ん に 取り 組ま れ て いま す . 

は , IEC 61508 が , アー キテ クチ ャ 設計 工程 と ソフ トウ ェ 
ア ・ モジュール 設計 工程 を 明確 に 区 別 し , アプ ロー チ を 規 
定 し て いる こと に も 関係 し て いま す . 
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